secure-boot
EDK2: startup.nsh EUFI 스크립트 서명
BIOS는 EDK2 UEFI 셸을 로드할 때 해당 서명을 확인합니다. 그런 다음 모든 EUFI 모듈(예: Ext4Pkg)을 확인하도록 EDK2를 구성했지만 start.nsh 스크립트는 서명되지 않았습니다. 파일에 서명/검증하고 EDK2에서 확인하는 방법은 무엇입니까? ...
secure-boot
secure-boot
dd를 통해 Linux 직접 드라이버를 일괄 설치하시겠습니까?
유사/동일한 여러 노트북에 맞춤형 OS를 설치해야 합니다. 노트북을 라이브 부팅하고 템플릿 노트북의 디스크를 새 노트북에 추가할 수 있습니까? 나중에 보안 부팅 키 등록을 실행할 수 있나요? ...
%EC%9D%84%20%EB%B9%84%ED%99%9C%EC%84%B1%ED%99%94%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95.png)
secure-boot
BIOS 또는 콘솔 액세스 없이 kernel_lockdown(MSR)을 비활성화하는 방법
화면이 손상된 노트북이 있습니다. 저는 HDMI로 화면을 연결해서 사용하고 있어요. 효과적으로 실행하려면 MSR 액세스가 필요한 일부 암호화 마이닝 소프트웨어를 실행하고 있습니다. 보안 부팅을 비활성화하기 위해 BIOS에 액세스할 수 없습니다. mokutil을 사용하기 위해 콘솔에 액세스할 수 없습니다. 돕다! 미리 감사드립니다! :) ...
secure-boot
`/sys/kernel/security/tpm0/binary_bios_measurements`는 언제 어떻게 공개되나요?
현재 저는 측정 시작이 어떻게 작동하는지, 어떤 구성요소가 tpm2의 어떤 PCR에 무엇을 기록하는지 이해하려고 노력하고 있습니다. uefi 보안 부팅이 활성화되고 tpm2가 kvm 가상 머신에 연결된 테스트 설정이 있습니다. 나는 tpm2_pcrread합리적인 출력을 제공하는 tpm 지원 등을 사용하여 내 자신의 커널을 컴파일했습니다 . 이제 tpm 이벤트 내부를 살펴보고 싶습니다. 하지만 안돼요 /sys/kernel/security/tpm0, 그러니 안돼요 binary_bios_measuremen...
secure-boot
secureboot db EFI 서명 목록에 키를 추가하는 방법은 무엇입니까?
현재 UKI(통합 커널 이미지), FDE(전체 디스크 암호화) 및 보안 부팅/TPM2 기반 잠금 해제 기능을 갖춘 Arch Linux를 실행하는 두 대의 컴퓨터가 있습니다. 두 컴퓨터 모두에서 사용할 수 있는 휴대용 USB 스틱 설치(UKI/FE/TPM2 포함)를 만들고 싶습니다. 현재 SB(Secure Boot) 키를 설정하는 방법을 알아보고 있습니다. 두 컴퓨터와 USB 스틱 모두에서 SB 키를 생성하고 UKI에 서명합니다. sbctl create-keys -e ./ -d ./ sbctl impo...
secure-boot
yocto로 구축된 Linux 버전에 대해 UEFI 보안 부팅을 활성화하는 방법은 무엇입니까?
저는 yocto 빌드를 구축 중이며 사용 중인 Intel 시스템에서 UEFI 보안 부팅을 활성화하고 싶습니다. 이것은 core-image-minimal 및 Meta-Intel을 사용하는 매우 기본적인 yocto 빌드입니다. 생성되는 아티팩트는 다음과 같습니다. ./core-image-minimal-intel-corei7-64.wic ./bzImage-intel-corei7-64.bin ./bzImage--6.1.38+git0+d62bfbd59e_11e606448a-r0-intel-corei7-64-2...
secure-boot
MOKutil: 설치된 드라이버에 대한 키 등록
처음 설치하는 동안 배포판(Zorin OS)에서 제공한 옵션을 사용하여 PC에 독점 NVIDIA 드라이버를 설치했습니다. 안타깝게도 드라이버 서명이 MOK에 등록되지 않아 보안 부팅으로 인해 드라이버 서명이 로드되지 않았습니다. 실행하면 modinfo nvidia드라이버가 실제로 서명되었다고 표시되지만 mokutil --list-enrolled어디에도 드라이버의 서명이 표시되지 않습니다. 그래서 저는 한 번도 합격한 적이 없습니다. 나중에 MOK에 드라이버 서명을 등록하는 방법은 무엇입니까? 모듈에 ...
secure-boot
Linux의 사용자 공간에서 UEFI 인증 변수 생성, 업데이트, 수정 및 삭제
찾고 있었지만 사용자 공간에서 Linux의 임의 인증 변수를 생성, 삭제, 수정 및 업데이트하기 위한 정보나 유틸리티를 찾을 수 없습니다. 물론 인증된 변수에 대한 서명된 업데이트를 수행하는 도구가 있지만 이것이 보안 부팅 변수만을 위한 것인지는 sbvarsign의심스럽습니다 . sbvarsign다른 변수에 사용되더라도 변수 생성/삭제 기능을 제공하지 않으며, 이러한 시그니처의 업데이트를 실제로 적용하지 않고 Blob만 생성합니다. Linux 사용자 공간에서 임의의 이름으로 인증된 변수를 생성, 삭제...
secure-boot
보안 부팅을 위해 Debian 시스템에서 grubx64.efi 대신 shimx64.efi를 실행하도록 NVRAM을 업데이트하세요.
보안 부팅이 활성화된 상태로 부팅하도록 데비안을 구성하고 싶었지만 구성되지 않았는데 그 이유는 다음과 같습니다... 운영 체제별 부트 로더는 ESP설치된 파티션에 저장됩니다./boot/efi 데비안 시스템에는 자체 하위 디렉터리가 있습니다. debian해당 폴더의 내용은 다음과 같습니다. sudo ls /boot/efi/EFI/debian 명령의 출력은 다음과 같습니다. BOOTX64.CSV fbx64.efi grub.cfg grubx64.efi mmx64.efi shimx64.efi ...
secure-boot
보안 부팅을 비활성화할 수 없는 경우 Linux를 설치하는 방법은 무엇입니까?
USB 스틱에서 Ventoy 및 (KDE) ISO Image Writer를 사용하여 Fedora에 Linux Mint를 설치하려고 합니다. 민트 최신 버전 21.3. 두 번 모두 "보안 부팅 충돌. 잘못된 서명이 감지되었습니다. 설정에서 보안 부팅 정책을 확인하세요."라는 메시지가 표시되었습니다. BIOS에서 보안 부팅이 회색으로 표시되어 비활성화할 수 없습니다. 노트북은 Lenovo Thinkpad L14(2023년 모델)입니다. BIOS에서 보안 부팅을 비활성화하는 효과적인 방법을 찾지 못했고 보...
secure-boot
Kali Linux에서 보안 부팅 시 "오류: /boot/vmlinuz-6.6.9-amd64 서명이 유효하지 않습니다."
보안 부팅이 활성화된 Kali Linux 시스템을 실행하려고 하면 GRUB에서 " error: /boot/vmlinuz-6.6.9-amd64 has invalid signature.보안 부팅을 끄고 싶지 않습니다."를 반환합니다. 나는 여기의 지침을 따랐습니다.https://www.reddit.com/r/archlinux/comments/10pq74e/my_easy_method_for_setting_up_secure_boot_withgrub-install --target=x86_64-efi --efi...
secure-boot
모듈이 서명되었지만 여전히 "insmod: 오류: 모듈을 삽입할 수 없습니다. ptusys.ko: 서비스에서 키가 거부되었습니다"라는 메시지가 표시됩니다.
내 테스트 환경: --운영 체제: RHEL 9.2 커널 6.2.0 빌드에 서명했고 보안 부팅이 활성화된 상태로 부팅됩니다. 그런 다음 보안 부팅 모듈에 서명하려고 시도했지만 적용에 실패했습니다. [root@localhost ptusys]# insmod ptusys.ko insmod: ERROR: could not insert module ptusys.ko: Key was rejected by service This my MOK list. [root@localhost ptusys]# mokutil -...
secure-boot
SecureBoot를 사용하여 GRUB에서 글꼴 변경
Grub을 사용하는 이중 부팅 시스템이 있습니다. GRUB_FONT 설정이 SecureBoot에 의해 손상된 것 같습니다. Grub의 콘솔에서 이 명령을 시도할 수도 있습니다 loadfont. 그러면 SecureBoot에 대한 오류가 반환됩니다. 이 문제에 대한 해결책이 있습니까? 글꼴 파일에 서명을 해야 하는 경우 어떻게 해야 합니까? 저는 Ubuntu 23.10을 사용하고 있지만 그게 중요하다고 생각하지 않습니다. ...
secure-boot
사용할 보안 부팅 키를 설정하는 방법
보안 부팅의 이점을 얻으려고 노력하고 있지만 Microsoft가 서명하는 것을 신뢰하지 않습니다. 보안 부팅을 설정하고 새 커널(apt를 통해 업데이트된 커널)을 자동으로 서명하는 쉬운 방법이 있습니까? (UEFI에서 키를 가져오는 방법을 알고 있습니다.) (전반은 슈퍼유저에 속할 수도 있지만 확실하지 않습니다) ...
secure-boot
RHEL/RockyLinux/AlmaLinux의 UEFI 보안 부팅에서 Linux 최대 절전 모드를 활성화하는 방법은 무엇입니까?
현재 Linux 배포판이 UEFI 보안 부팅에서 실행되면 커널 잠금이 설정됩니다. 다중 커널 메시지 Lockdown: swapper/0: hibernation is restricted; see man kernel_lockdown.7 커널이 인식하는 안전한(즉, 서명/암호화된) 스왑 공간을 제공하지 않으면 커널이 최대 절전 모드를 시도하지 않는다는 사실을 알려줍니다. 나는 위의 세 가지 분포가 하나의 솔루션이 모두 적합할 정도로 유사하다고 가정합니다. 그러나 UEFI와 서명된 실행 코드를 사용하면 이 ...